ELK スタック環境で logstash 1.5 を使用しています。次のフィルター構成を使用します。
filter {
mutate {
add_filed => { "src_ip" => "%{src}" }
add_filed => { "dst_ip" => "%{dst}" }
}
dns {
reverse => [ "src", "dst" ]
action => "replace"
}
}
私には2つの問題があります:
- フィルターが見つからないか、多くのログで dns リバース プロセスをスキップします。つまり、フィルター プロセスに入る各ログ、または dst フィールドと src フィールドの両方が反転するか、まったく反転せず、ip のままです (nslookup でテストすると、すべての ipフィールドには dns に名前があります)。
- 方法と理由はわかりませんが、ログの一部に複数の値があり、次のエラーが発生します。
DNS: 逆方向へのスキップ、複数の値を処理できない、:field=>"src"、:value=>["10.0.0.1"、"20.0.0.2"]、:level=> warn
私の(ELK)ログスタッシュは、多くのログを処理して十分に速く解決できないようです。また、異なるログから複数の値の配列キーを作成しているようにも見えます。
何か案が?多分あなたたちはこの問題に遭遇しますか?